System zapobiegania włamaniom działający na hoście (HIPS)

MONITOR_RED OSTRZEŻENIE

Zmiany w ustawieniach systemu HIPS powinni wprowadzać jedynie doświadczeni użytkownicy. Nieprawidłowe skonfigurowanie ustawień systemu HIPS może spowodować niestabilność systemu.

System zapobiegania włamaniom działający na hoście (ang. Host-based Intrusion Prevention System, HIPS) chroni system operacyjny przed szkodliwym oprogramowaniem i niepożądanymi działaniami mającymi na celu wywarcie negatywnego wpływu na komputer użytkownika. W rozwiązaniu tym używana jest zaawansowana analiza behawioralna powiązana z metodami wykrywania stosowanymi w filtrze sieciowym. Dzięki temu system HIPS monitoruje uruchomione procesy, pliki i klucze rejestru. System HIPS jest modułem oddzielnym względem ochrony systemu plików w czasie rzeczywistym i nie jest zaporą. Monitoruje on tylko procesy uruchomione w systemie operacyjnym.

Ustawienia systemu HIPS można znaleźć w obszarze Ustawienia zaawansowane (F5) > Moduł antywirusowy > System HIPS > Podstawowe. Stan systemu HIPS (włączony/wyłączony) widoczny jest w oknie głównym programu ESET Endpoint Antivirus, w obszarze Ustawienia > Komputer.

CONFIG_HIPS

W programie ESET Endpoint Antivirus stosowana jest wbudowana technologia Self-defense, która zapobiega uszkodzeniu lub wyłączeniu ochrony antywirusowej i antyspyware przez szkodliwe oprogramowanie, co daje pewność, że komputer jest chroniony w sposób nieprzerwany. Wyłączenie systemu HIPS lub technologii Self-Defense wymaga ponownego uruchomienia systemu Windows.

Zaawansowany skaner pamięci działa w połączeniu z blokadą programów typu Exploit w celu wzmocnienia ochrony przed szkodliwym oprogramowaniem, które unika wykrycia przez produkty do ochrony przed szkodliwym oprogramowaniem poprzez zastosowanie zaciemniania kodu i/lub szyfrowania. Zaawansowany skaner pamięci jest domyślnie włączony. Więcej informacji na temat ochrony tego typu można znaleźć w słowniczku.

Blokada programów typu Exploit ma na celu wzmocnienie używanych zazwyczaj typów aplikacji, takich jak przeglądarki internetowe, przeglądarki plików PDF, programy poczty e-mail oraz składniki pakietu MS Office. Blokada programów typu Exploit jest domyślnie włączona. Więcej informacji na temat ochrony tego typu można znaleźć w słowniczku.

Filtrowanie może działać w jednym z czterech trybów:

Tryb automatyczny — dozwolone są wszystkie operacje z wyjątkiem operacji zablokowanych przez wstępnie zdefiniowane reguły chroniące komputer.

Tryb interaktywny — użytkownik jest monitowany o potwierdzenie operacji.

Tryb oparty na regułach — operacje są blokowane.

Tryb uczenia się — operacje są dozwolone, a po każdej operacji jest tworzona reguła. Reguły utworzone w tym trybie można przeglądać w oknie Edytor reguł. Mają one niższy priorytet niż reguły utworzone ręcznie i utworzone w trybie automatycznym. Po wybraniu trybu uczenia się z menu rozwijanego trybu filtrowania HIPS udostępnione zostanie ustawienie Termin zakończenia trybu uczenia się. Użytkownik może wskazać, na jaki czas chce włączyć tryb uczenia się. Maksymalny dostępny czas to 14 dni. Po upływie wskazanego czasu zostanie wyświetlony monit o przeprowadzenie edycji reguł utworzonych przez system HIPS w trybie uczenia się. Można również wybrać różne tryby filtrowania lub odroczyć podjęcie decyzji i kontynuować korzystanie z trybu uczenia się.

Tryb inteligentny — użytkownik będzie powiadamiany wyłącznie o szczególnie podejrzanych zdarzeniach.

System HIPS monitoruje zdarzenia w systemie operacyjnym i reaguje na nie na podstawie reguł podobnych do reguł używanych przez zaporę osobistą. Kliknięcie opcji Edytuj powoduje otwarcie okna zarządzania regułami systemu HIPS. Tutaj można wybierać, tworzyć, edytować i usuwać reguły. Bardziej szczegółowe informacje o tworzeniu reguł i działaniu systemu HIPS można znaleźć w rozdziale Edytowanie reguł.

W poniższym przykładzie pokazano, jak ograniczyć niepożądane działania aplikacji:

1.Nadaj nazwę regule i w menu rozwijanym Czynność wybierz polecenie Blokuj.
2.Użyj przełącznika Powiadom użytkownika, aby wyświetlać powiadomienie za każdym razem, gdy reguła jest stosowana.
3.Wybierz co najmniej jedną operację, w odniesieniu do której reguła będzie stosowana. W oknie Aplikacje źródłowe z menu rozwijanego wybierz opcję Wszystkie aplikacje, aby zastosować nową regułę do wszystkich aplikacji próbujących wykonać dowolną z wybranych czynności na aplikacjach w odniesieniu do podanych aplikacji.
4.Wybierz opcję Zmodyfikuj stan innej aplikacji.
5.Z menu rozwijanego wybierz opcję Określone aplikacje i dodaj jedną lub więcej aplikacji, które mają być objęte ochroną.
6.Kliknij przycisk Zakończ, aby zapisać nową regułę.

CONFIG_HIPS_RULES_EXAMPLE